Die Google Threat Analysis Group (ETIKETT) kürzlich herausgefunden, dass im vergangenen Jahr zwei getrennte Kampagnen durchgeführt wurden, um eine Reihe von zu nutzen Zero-Day und n-Day-Schwachstellen auf Android- und iOS-Geräten.
Was ist eine n-day Schwachstelle? Ein N-Day-Exploit ist eine Schwachstelle, die bereits ausgenutzt wurde und für die ein Patch verfügbar ist, um sie zu beheben. Dies unterscheidet sich von einem Zero-Day-Exploit, Dabei handelt es sich um eine neu entdeckte Schwachstelle, die noch vom Anbieter gepatcht werden muss.
Diese Kampagnen, von kommerziellen Spyware-Anbietern durchgeführt, waren begrenzt und sehr zielgerichtet, Nutzung der Zeit zwischen der Veröffentlichung eines Fixes und seiner Implementierung auf den Zielgeräten. Jedoch, Das Ausmaß und die Einzelheiten dieser Kampagnen sind noch unbekannt.
Spyware-Anbieter und Zero-Day-Ausbeutung
TAG überwacht Personen, die an Informationsoperationen beteiligt sind, staatlich unterstützte Angriffe, und finanziell getriebener Missbrauch seit Jahren. Vor kurzem, TAG hat mehr als genau beobachtet 30 kommerzielle Spyware-Anbieter mit unterschiedlichen Kompetenz- und Sichtbarkeitsstufen, die Exploit- und Überwachungsfähigkeiten an von der Regierung unterstützte Unternehmen verkaufen.
Solche Anbieter erleichtern es Regierungsbehörden, Hacking-Tools zu erhalten, die sie sonst nicht selbst entwickeln könnten. Auch wenn der Einsatz von Überwachungstechnik unter bestimmten Gesetzen zulässig sein kann, Diese Instrumente werden regelmäßig von Regierungen eingesetzt, um Dissidenten anzugreifen, Journalisten, Menschenrechtsaktivisten, und Oppositionspolitiker, Clement Lecigne von TAG schrieb in einem Blogbeitrag.
Im November 2022, TAG deckte Angriffsketten mit 0 Tagen auf, die Android- und iOS-Geräte betrafen, die an Benutzer in Italien verschickt wurden, Malaysia, und Kasachstan über bit.ly-Links, die per SMS gesendet werden. wenn Sie darauf klicken, Diese Links würden Besucher zu Seiten führen, die Exploits enthalten, die speziell für Android oder iOS entwickelt wurden, bevor sie auf legitime Websites wie die Seite zur Sendungsverfolgung für BRT umgeleitet werden, ein in Italien ansässiges Versand- und Logistikunternehmen, oder eine bekannte malaysische Nachrichten-Website.
Die iOS-Exploit-Kette
Die iOS-Exploit-Kette wurde gegen Betriebssystemversionen vor gesetzt 15.1 und enthalten CVE-2022-42856, eine Zero-Day-Schwachstelle für WebKit-Remotecodeausführung aufgrund eines Typverwechslungsproblems im JIT-Compiler. Der Exploit verwendete die DYLD_INTERPOSE PAC-Bypass-Technik, die von Apple im März behoben wurde 2022. Die gleiche Technik wurde in den Exploits von Cytrox verwendet, wie im Blogbeitrag von Citizenlab über Predator erwähnt. Beide Exploits enthielten die “make_bogus_transform” Funktion als Teil des PAC-Bypasses.
Ein weiterer ausgenutzter Zero-Day ist CVE-2021-30900, ein Sandbox-Escape- und Privilege-Escalation-Bug in AGXAccelerator, das wurde von Apple in der behoben 15.1 aktualisieren. Dieser Fehler wurde zuvor in einem Exploit für oob_timestamp dokumentiert, der auf Github in veröffentlicht wurde 2020.
Die Android-Exploit-Kette
Die Kette von Android-Exploits zielte auf Benutzer mit ARM-GPUs ab, auf denen zuvor Chrome-Versionen ausgeführt wurden 106. Die Kette besteht aus drei Exploits, darunter ein Zero-Day: CVE-2022-3723, eine Typverwirrungs-Schwachstelle, die von Avast in freier Wildbahn entdeckt wurde, und im Oktober fixiert 2022 als Teil der Version 107.0.5304.87. CVE-2022-4135 ist eine Chrome-GPU-Sandbox-Umgehung, die nur Android betraf, das zum Zeitpunkt der Ausnutzung als Zero-Day eingestuft und im November gepatcht wurde 2022. CVE-2022-38181 wurde ebenfalls verwendet, ein Rechte-Eskalations-Bug, der im August von ARM gepatcht wurde 2022. Es ist noch nicht bekannt, ob Angreifer einen Exploit für diese Schwachstelle hatten, bevor sie ARM gemeldet wurde.
Bemerkenswert ist, dass Benutzer mit Intent Redirection zu Chrome umgeleitet wurden, wenn sie vom Samsung Internet Browser kamen. Das ist das Gegenteil von dem, was wir in der Vergangenheit bei Angreifern gesehen haben, wie im Fall von CVE-2022-2856, wo Benutzer von Chrome zum Samsung Internet Browser umgeleitet wurden. Die Payload dieser Exploit-Kette war nicht verfügbar.
Als ARM einen Fix für CVE-2022-38181 veröffentlichte, Viele Anbieter haben den Patch nicht sofort integriert, damit die Fehler ausgenutzt werden können. Darauf wurde kürzlich durch Blogbeiträge von Project Zero und Github Security Lab hingewiesen.
Es ist wichtig zu beachten, dass Pixel-Geräte mit der 2023-01-05 Sicherheitsupdate und Chrome-Benutzer auf Version aktualisiert 108.0.5359 sind vor beiden Exploit-Ketten geschützt, ETIKETT bekannt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: